14/06/19
Исследователь безопасности из Google Project Zero Тэвис Орманди (Tavis Ormandy) сообщил подробности об уязвимости в криптографической библиотеке Windows. Проблема затрагивает версии ОС, начиная с Windows 8, и позволяет вызвать отказ в обслуживании любого Windows-сервера.
Уязвимость затрагивает SymCrypt – один из проектов с открытым исходным кодом компании Microsoft, ставший ее главной криптографической библиотекой для симметричных алгоритмов, начиная с Windows 8. В Windows 10 (1703) SymCrypt также является главной библиотекой для асимметричных алгоритмов.
Орманди создал сертификат X.509, запускающий уязвимость и инициирующий состояние отказа в обслуживании на любом Windows-сервере. В результате для возобновления работы сервера потребуется перезагрузка.
«В высокоточных арифметических процессах SymCrypt существует уязвимость, способная запускать бесконечную петлю во время вычисления модульной инверсии на определенных битовых комбинациях с bcryptprimitives!SymCryptFdefModInvGeneric», – пояснил исследователь.
Согласно политикам Google Project Zero, на устранение уязвимости Microsoft был отведен срок в 90 дней. Однако, как сообщает издание ZDNet, во вторник, 11 июня, команда Microsoft Security Response Center (MSRC) уведомила Google о том, что не сможет выпустить исправление до выхода июльских плановых обновлений безопасности из-за ошибок, выявленных во время тестирования.
В очередной раз причиной проблемы послужило взаимодействие Windows с решениями безопасности. Как выяснил Орманди, если внедрить сертификат в сообщение S/MIME, технологию подписи кода Authenticode, канал связи и пр., можно вызвать отказ в обслуживании сервера (ipsec, iis, exchange и пр.).
«Очевидно, что многие программы, обрабатывающие недоверенный контент (например, антивирусы), вызывают эти процессы для недоверенных данных, и это приводит к их взаимной блокировке», – сообщил исследователь.
